블루아카이브 코유키의 난 진압 완료..."계정 정보 이상 없어"

넥슨의 인기 모바일게임 '블루아카이브'가 2025년 8월 31일 오후 9시경 CDN(콘텐츠전송네트워크) 해킹으로 인한 보안 사건에 휘말렸다. 이 사건은 게임 내 캐릭터 '쿠로사키 코유키'가 집중적으로 악용되면서 커뮤니티에서는 '코유키의 난', '코유키 사태' 등으로 불리고 있으며, 해외에서는 'Koyuki incident(코유키 사건)'로 명명되고 있다.

넥슨은 "게임 데이터베이스와 각 계정 정보에는 이상이 없음을 확인했다"며 "선생님들의 계정과 게임 데이터, 결제 관련 정보는 별도의 데이터베이스에 분리 운영되고 있어 영향이 없었다"고 밝혔다. 또한 한국인터넷진흥원(KISA)에 사건을 신고하고 보안 조치 및 공격자에 대한 조사를 진행하고 있다고 발표했다.

사건은 8월 31일 오후 9시 6분경 중간자 공격(MITM)으로 결제 문제가 발생하면서 시작되었다. 약 14분 후인 오후 9시 20분경, 게임 내 '카페' 콘텐츠에서 특정 캐릭터 '코유키'가 십수 명 이상 복제되어 등장하는 기이한 현상이 나타났다. 이후 콜라보 캐릭터인 '하츠네 미쿠'까지 대량 복제되어 카페에 출현했으며, 메인 화면의 이벤트 배너가 변조되어 외부 유튜브 채널로 연결되는 현상도 발생했다.

넥슨이 9월 2일 공개한 상세 조치사항에 따르면, 공격자는 블루아카이브 클라이언트가 실행 시 참조하는 CDN의 환경설정에 외부에서 특정한 방법을 통해 접근했다. 환경설정의 일부가 네덜란드 소재 서버로 변경되면서 이상 현상이 발생한 것으로 파악됐다. 커뮤니티의 기술적 분석에 따르면, 공격자가 CDN을 해킹하여 블루아카이브의 정상 서버 주소를 네덜란드 서버로 우회시키는 수법을 사용한 것으로 추정된다.

이번 해킹은 구글플레이와 갤럭시스토어를 통한 모바일 클라이언트에서 주로 증상이 보고되었으며, 원스토어판과 스팀을 통해 서비스되는 PC 클라이언트는 정상적으로 작동했다. 일본 서버에서는 해킹 현상이 발생하지 않았으며, 글로벌 서버에서만 문제가 나타났다.

사건 초기 유저들은 단순한 버그로 여겼다. 이전에도 같은 학생이 중복으로 등장하는 오류가 있었던 데다, 하필 해킹에 이용된 캐릭터가 작중에서 말썽꾸러기로 설정된 '코유키'였기 때문에 많은 이용자들이 상황을 가볍게 받아들였다. 커뮤니티에서는 해킹 관련 밈 합성 이미지를 만들거나 작중 해킹 동아리 '베리타스' 드립을 치는 등 유머러스한 반응을 보이기도 했다.

넥슨은 8월 31일 오후 10시 22분부터 9월 1일 오전 4시 40분까지 약 6시간 동안 긴급점검을 실시했다. 점검을 통해 공격 경로를 차단하고 CDN의 환경설정을 원상복구했으며, 환경설정 접근 권한을 제한하고 2중 제어를 추가하는 보안 강화 조치를 취했다.

재발 방지를 위해 넥슨은 외부 접속을 원천적으로 차단하는 정기 점검 실시, 환경설정 변경 시 사전 및 사후 검증 절차 강화, 모의해킹과 버그바운티 등 강도 높은 보안 진단을 게임 클라이언트와 서버에 집중 시행할 예정이라고 밝혔다.